Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 654

Kerberoasting

审核人Cybersecurity entrepreneur & security researcher

Kerberoasting 是什么?

Kerberoasting一种针对服务账户的离线口令破解攻击:申请 Kerberos 服务票据并对其加密部分进行离线破解,以还原明文密码。


Kerberoasting 由 Tim Medin 在 2014 年 DerbyCon 大会上首次提出,它滥用了 Kerberos 的一个核心特性:任意已认证的域用户都可以为任意服务主体名称(SPN)申请服务票据(TGS-REP),而该票据的一部分是用服务账户的 NTLM 密码哈希加密的。攻击者根本无需触碰目标服务——他们枚举 SPN(通过 LDAP、setspn、Rubeus 或 Impacket 的 GetUserSPNs),申请票据,导出加密的数据块,再用 Hashcat(mode 13100)或 John the Ripper 进行离线破解。整个过程不涉及任何提权,也不会触发账户锁定,因此口令薄弱、长期未轮换的服务账户常常在数小时内就被攻破。

风险在使用传统 RC4-HMAC(etype 23)票据时最高,这类票据的破解速度远快于 AES;攻击者经常故意将请求降级为 RC4。MITRE ATT&CK 将其记为 T1558.003。它是勒索软件附属团伙的偏爱手段,也曾是多起被广泛报道的 Active Directory 入侵事件的核心环节,原因在于服务账户往往被过度授权。防御措施:使用 25 位以上的随机口令,或采用具备自动轮换功能的组托管服务账户(gMSA/dMSA),强制启用 AES 加密类型,从特权账户上移除不必要的 SPN,部署蜜罐 SPN,并对显示批量 RC4 票据请求的事件 ID 4769 进行告警。

flowchart TD
  A[低权限域用户] -->|"1. 通过 LDAP 枚举 SPN"| B[Active Directory]
  A -->|"2. 为 SPN 申请 TGS(强制 RC4)"| C[KDC / 域控制器]
  C -->|"3. TGS-REP 以<br/>服务账户哈希加密"| A
  A -->|"4. 导出票据"| D[离线破解<br/>Hashcat mode 13100]
  D -->|"5. 还原出弱口令"| E[服务账户失陷<br/>→ 横向移动 / DA]

示例

  1. 01

    用低权限用户运行 Rubeus kerberoast 收集 TGS,然后用 Hashcat 破解。

  2. 02

    发现某个 Domain Admin 账户带有 SPN 且口令较弱,从而直接升至域控制权。

常见问题

Kerberoasting 是什么?

一种针对服务账户的离线口令破解攻击:申请 Kerberos 服务票据并对其加密部分进行离线破解,以还原明文密码。 它属于网络安全的 攻击与威胁 分类。

Kerberoasting 是什么意思?

一种针对服务账户的离线口令破解攻击:申请 Kerberos 服务票据并对其加密部分进行离线破解,以还原明文密码。

如何防御 Kerberoasting?

针对 Kerberoasting 的防御通常结合技术控制与运营实践,详见上方完整定义。

相关术语

另见